У нас была успешная попытка взлома из России, и один из наших серверов использовался в качестве плацдарма для дальнейших атак, на самом деле каким-то образом им удалось получить доступ к учетной записи Windows под названием «сервисы». Я отключил этот сервер, так как это был наш SMTP-сервер и он больше не нужен (теперь установлена сторонняя система).
Теперь некоторые из наших других серверов имеют эти попытки АНОНИМНОГО ВХОДА в средство просмотра событий с IP-адресами из Китая, Румынии, Италии (я думаю, там тоже есть какая-то Европа) ... Я не знаю, что хотят эти люди, но они просто продолжают атаковать сервер. Как я могу предотвратить это?
Я не хочу, чтобы наши серверы снова были скомпрометированы, в прошлый раз, когда наш хост отключил весь наш аппаратный узел из сети, потому что он атаковал другие системы, в результате чего наши службы перестали работать, что действительно плохо.
Как я могу предотвратить попытки этих странных IP-адресов получить доступ к моим серверам?
Это «контейнеры» (виртуальные машины) Windows Server 2003 R2 Enterprise, работающие на узле Parallels Virtuozzo HW, если это имеет значение. Я могу настроить каждую машину индивидуально, как если бы это был собственный сервер ...
ОБНОВЛЕНИЕ: все еще происходят новые попытки входа в систему, теперь они возвращаются в Украину ... WTF ... вот событие:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB4FEB30C)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: REANIMAT-328817
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 94.179.189.117
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Вот еще один из Франции, который я тоже нашел:
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date: 1/20/2011
Time: 11:09:50 AM
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: QA
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB35D8539)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: COMPUTER
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 82.238.39.154
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Вы должны действительно заблокировать их на маршрутизаторе / брандмауэре, если вам не нужен доступ к этим серверам из любого места - тогда они должны принимать соединения только из вашего диапазона IP-адресов. Свяжитесь со своим хостинг-провайдером и как можно скорее установите эти правила.
То, что вы видите, - это атака грубой силы для получения доступа к системе с использованием терминальных служб (RDP). На ПК с Windows: перейдите в начало, введите run, затем введите mstsc и нажмите Enter. Введите адрес вашего сервера. При запросе имени пользователя и пароля просто щелкните диалоговое окно закрытия. Затем посмотрите журнал безопасности вашего сервера. Вы увидите то же событие, которое вы видите, исходящее со своего IP-адреса. Вы все равно захотите заблокировать этих панков брандмауэром. Каждый раз, когда кто-то пытается запустить сеанс RDP, Windows запускает winlogon.exe и csrss.exe (смотрите taskmgr). Если они пытаются войти в систему несколько раз в секунду, ваша система замедлится.
Предупреждение: это успешные попытки, то есть они вошли на ваш сервер. На этом этапе я бы отключил сервер, изменил правила брандмауэра и немедленно исправил сервер. Похоже, вам нужен только порт 80, открытый для мира, поэтому просто откройте его и запретите диапазоны IP-адресов любых стран / регионов, для которых вы видели массу неудачных запросов, включая этот диапазон для Украины: 94.0.0.0/8 и этот IP: 82.238.39.154. Они все еще могут обойти это, но это создает для них немного больше хлопот.
Кроме того, эти 2 машины (как минимум) необходимо проверить, чтобы убедиться, что они чистые: REANIMAT-328817 и КОМПЬЮТЕР.
Прочитав больше, вы не увидите, что у вас есть достойный брандмауэр или он правильно настроен. Я бы сделал вышеупомянутое и установил надлежащий брандмауэр ДО того, как снова включить сервер. Кроме того, вы действительно не можете больше доверять этим машинам, поскольку у них, вероятно, теперь есть лазейки; время переустановить образ или переустановить ОС и т. д.